セキュリティ&仕組み
「添付を安全なリンクに」する理由と対策
添付そのものを送るのではなく、安全なダウンロードリンクに置き換えることで、誤送時の回収やアクセス制御が可能になります。
ZipCloudMilter はメール運用に自然にフィットする形で、回数・期限・パスワード別送・公開停止・履歴を提供します。
さらに 非同期処理 により、大容量ファイルでも送信を待たせず安定してリンク配布できます。
データフロー図(送信→保存→配布→失効)
※ 図は概念図です。実際の構成・ポリシー・待ち時間は環境により異なります。
添付 → リンク配布の利点
- 回収が可能: 誤送信でも 公開停止 で即時無効化
- アクセス制御:
#LIMIT(回数)と#EXPIRE(期限)で再配布を抑制 - 別送パスワード: メール本文と分離し、受信時に入力
- 軽量化: メールは常に軽く、到達率が安定
- 履歴: 初回ダウンロード通知・アクセス履歴でトレーサビリティ
メール運用にフィットする理由
- 件名コマンド: 送信者の操作は件名に
#ZIP等を付けるだけ - 非同期処理: 大容量は送信後にバックグラウンドで変換・アップロード
- 相手先別ポリシー: ドメインごとに配布方式を切替可能
- 返信も安全:
#REPLYで返信アップロード用リンクを同時発行
制御ポイントと運用フロー
期限(EXPIRE)
案件クローズに合わせた自動失効。残置リスクを低減。
回数(LIMIT)
想定外の再配布・多重DLを抑制。0で無制限も可。
パスワード別送
本文とパスを分離。受信時の入力で本人性を補強。
公開停止
送信者通知から即停止/削除。誤送信時の初動に。
初回DL通知
相手が開いた瞬間を把握。やり取りの節目を可視化。
履歴/監査
アクセスの検索・把握(範囲は環境設定に依存)。
プライバシーの考え方
- 本文にはファイル実体を残さない(リンク化)
- 保存先は Nextcloud。保存/暗号/権限制御は組織のポリシーに従う
- 有効期限切れ後は自動削除(運用ルールによる)
- 大容量でも「メール本文」は軽いまま(配送と保存を分離)
責任分界(概要)
- 送信者: 件名コマンド設定、誤送時の公開停止
- 受信者: リンク/パスの適切な取り扱い
- 管理者: 既定値・ポリシー設計、Nextcloud 側の保護
- システム: 非同期でアップロード/通知(サイズに応じて待ち時間は変動)
かんたん脅威モデル(チェックリスト)
- 取引先ごとに
#EXPIREと#LIMITの既定値を設計 - 重要案件は
#ZIP+ パスワード別送 を標準化 - 初回DL通知で受け取り確認、必要に応じて再送
- 誤送信時は通知メールの削除リンクから即停止
- 大容量運用では「待ち時間(数秒〜)」を社内ルールに明記
- 本文にパスワードや機微情報を同時記載
- 無期限・無制限のリンクを恒常的に運用
- Nextcloud 側のクォータ/権限/ログ設定を放置
- 大容量でも「即時に通知が来る前提」で運用する(サイズで変動します)
ただし 停止できる・記録が残る・期限で消える という運用特性により、 “メールで安全に送る”ことを日常運用として実現しやすくなります。
さらに非同期対応により、大容量でも配送の安定性を高められます。
よくある質問
パスワードを別送する理由は?
リンク(本文)とパスワード(別メール)を分離することで、単一メールの漏洩で内容に直アクセスされにくくします。
リンクを転送されたら?
#LIMIT や #EXPIRE で二次配布を抑制できます。必要に応じて送信者側で公開停止してください。
容量・大きなファイルは?
実体は Nextcloud に保存され、メールは軽量のままです。さらに ZipCloudMilter は非同期処理に対応しており、
大容量でも送信を待たせにくく、タイムアウトや配送の不安定化を抑えます。
上限は Nextcloud 側のクォータやWebサーバ/ストレージ構成に依存します(環境により異なります)。
通知メールはすぐ届きますか?
通常はすぐ届きますが、大容量では非同期処理のため数秒〜(サイズ・回線・環境により変動)かかる場合があります。 送信者を待たせない設計のため、配送の安定性を優先しています。